El “cryptojacking” es un tipo de delito informático que consiste en minar criptomonedas utilizando computadoras, smartphones, tablets o incluso servidores de personas que no han autorizado tal uso. Este ciberdelito tiene la misma finalidad que tantos otros: obtener una ganancia. Sin embargo, se diferencia del resto porque debe pasar completamente desapercibido para la víctima.
El cryptojacking es una amenaza que se introduce en una computadora o en un dispositivo móvil y utiliza sus recursos para generar criptomonedas. Las criptomonedas son un tipo de dinero digital o virtual, representado por tokens. La moneda digital más conocida es Bitcoin, pero existen más de tres mil. Algunas se han adentrado en el mundo físico a través de las tarjetas de crédito y otros proyectos, pero, en general, son puramente virtuales.
El funcionamiento de las criptomonedas depende de una base de datos distribuida, conocida como cadena de bloques o “blockchain”. Esta cadena se actualiza en forma periódica para incorporar las transacciones registradas entre una actualización y la otra. Las transacciones recientes se agrupan y se combinan en un bloque por medio de un complejo proceso matemático.
Generar nuevos bloques requiere poder de cómputo. Quienes lo proveen ven su trabajo recompensado con criptomonedas. Las personas que cambian recursos de cómputo por criptomonedas reciben el nombre de mineros.
Las criptomonedas más grandes tienen grupos de mineros que realizan los cálculos utilizando equipos informáticos específicos. El consumo de energía asociado a esta actividad es muy significativo: la red Bitcoin, por ejemplo, tiene hoy un consumo de más de 73 TW/h al año.
Este orden de cosas ha dado lugar al cryptojacking y a los “cryptojackers”, como se conoce a quienes buscan beneficiarse de la criptominería sin asumir sus enormes costos. El cryptojacking les brinda a los hackers la posibilidad de generar criptomonedas sin entrar en gastos, pues les evita el elevado costo de los equipos de minería y las abultadas boletas o recibos de electricidad. La criptomoneda que normalmente se genera a través de esta actividad se llama Monero. Es una de las predilectas de los ciberdelincuentes porque es difícil de rastrear.
Si el cryptojacking es una práctica en auge o en decadencia es discutible. Lo normal es que cuando aumenta el valor de las criptomonedas —en especial el valor de Bitcoin y Monero—, aumentan también los casos de cryptojacking. No obstante, en los últimos años, la actividad se ha visto atenuada por dos motivos:
El móvil del cryptojacking es simple: el dinero. La criptominería puede ser una actividad muy lucrativa, pero lograr una ganancia no es fácil cuando se debe hacer frente a grandes costos. El cryptojacking es la manifestación delictiva de esta actividad. Brinda un modo ilegal, pero efectivo y económico, de generar monedas que tienen un gran valor.
Los ciberdelincuentes se introducen en el dispositivo de una víctima e instalan una aplicación de cryptojacking. El software se carga en segundo plano y comienza a generar criptomonedas nuevas o, si encuentra una billetera, roba monedas existentes. Aunque la víctima puede notar algún problema de rendimiento, sigue utilizando su dispositivo como siempre, ajena a lo que ocurre en realidad.
Por lo general, los hackers emplean una de dos estrategias para transformar el dispositivo de una víctima en una “estación de minería”:
Muchos hackers emplean ambos métodos para maximizar sus ganancias. En cualquiera de los dos casos, lo que el código hace es copiar al dispositivo un script de cryptojacking, que opera en segundo plano mientras la víctima trabaja. El script intenta resolver problemas matemáticos complejos y envía los resultados a un servidor controlado por el hacker.
A diferencia de otras clases de malware, los scripts de cryptojacking no son perjudiciales ni para la computadora ni para los datos del usuario. Lo que hacen es apropiarse de parte de los recursos de cómputo. Para un usuario hogareño, que su computadora funcione un poco más lento es solo una molestia. Sin embargo, para una empresa, el cryptojacking puede ser un verdadero y costoso problema, en particular cuando son muchos los sistemas infectados. Por ejemplo:
Algunos scripts de criptominería se comportan como gusanos: una vez que tienen acceso a una red, tratan de infectar otros dispositivos y servidores. Ello los hace más difíciles de identificar y eliminar. Algunos scripts también analizan el dispositivo de la víctima para determinar si ya había sido infectado por otro software de minería. En caso positivo, deshabilitan la aplicación de la competencia.
En los albores de la criptominería, los propietarios de algunos sitios web tuvieron una idea para monetizar el tráfico: pedir autorización a los visitantes para generar criptomonedas en sus dispositivos mientras estuvieran en el sitio. Decían que la propuesta era un trato justo: el visitante accedía al contenido sin costo y, a cambio, el sitio web usaba su computadora para la criptominería. Un sitio de juegos, por ejemplo, podía aprovechar todo el largo de una visita para generar criptomonedas con un programa en JavaScript. Cuando el visitante salía de la página, el script se detenía. La idea no es descabellada, pero el sitio debe indicar claramente cómo opera. Lo difícil para el usuario es saber si un sitio dice la verdad.
La criptominería maliciosa (es decir, el cryptojacking) es una actividad que se realiza sin permiso y que no se detiene aunque el visitante abandone el sitio. Es frecuente en los sitios de dudosa reputación, pero también se la puede ver en sitios lícitos que han sido atacados. Los usuarios no tienen forma de saber si han visitado un sitio que utiliza sus equipos para la minería. El código pasa desapercibido porque se asegura de no utilizar demasiados recursos. El usuario cree que se han cerrado todas las ventanas del navegador, pero, sin saberlo, una ventana invisible sigue abierta. A menudo, esta ventana tiene el tamaño exacto para ocultarse detrás de la barra de tareas o el reloj.
Los dispositivos móviles con Android no están exentos de sufrir estos problemas: son susceptibles a los mismos métodos de cryptojacking que se emplean para computadoras portátiles o de escritorio. En algunos ataques, se utiliza un troyano oculto en una app descargada. En otros, se redirige al usuario a un sitio infectado, que abre (y deja abierta) una ventana secreta. Aunque un teléfono individual tiene un poder de cómputo relativamente limitado, cuando el ataque afecta una cantidad suficiente de dispositivos, la capacidad de cálculo combinada justifica los esfuerzos.
Estos son algunos de los casos de cryptojacking más resonantes:
Detectar un ataque de cryptojacking no siempre es fácil: el software de minería suele estar bien oculto y sus operaciones se confunden fácilmente con otras benignas. Hay, sin embargo, tres señales características de que algo anda mal.
Si ingresas a un sitio web que tiene poco contenido multimedia y notas que el uso del procesador aumenta, el responsable podría ser un script de cryptojacking. Una buena forma de detectar estos scripts es controlar el uso del procesador (también denominado CPU) a través del Monitor de Actividad o el Administrador de tareas. No obstante, ten en cuenta que los procesos maliciosos pueden ocultarse o hacerse pasar por otros benignos para que no los detengas. Además, si el dispositivo está funcionando al máximo de su capacidad, responderá lentamente y hacer estas investigaciones no te resultará sencillo.
Las aplicaciones de ciberseguridad más completas, como Kaspersky Total Security, ofrecen protección contra criptomineros maliciosos y pueden detectar amenazas en cualquier sitio. Aunque esto es válido para cualquier clase de malware, lo recomendable es que instales una solución de seguridad para prevenir, y no para deshacer, un daño. También es importante que instales todos los parches y actualizaciones que estén disponibles para tu sistema operativo y para las aplicaciones que utilices (en especial, para tu navegador).
Los delincuentes viven modificando sus scripts e inventando nuevas formas de introducirlos en los dispositivos de sus víctimas. Si mantienes una actitud proactiva y te interesas por los cambios en el mundo de las ciberamenazas, tendrás mejores posibilidades de notar si un script de cryptojacking (o alguna otra clase de malware) se ha introducido en tu dispositivo o en tu red.
Muchos de los scripts de cryptojacking están pensados para ejecutarse en un navegador web. Extensiones como minerBlock, No Coin y Anti Miner te ayudarán a bloquear estos scripts en los sitios que visites. Estos ayudantes están disponibles para todos los navegadores populares.
Instalar un bloqueador de anuncios es un buen modo de poner freno a los scripts de cryptojacking, pues muchas veces se introducen a través de las publicidades en línea. Adblock Plus y otros programas similares son capaces de detectar y bloquear criptomineros maliciosos.
Desactivar JavaScript en el navegador es una buena medida para evitar infecciones de cryptojacking. No obstante, aunque la solución es eficaz contra los criptomineros ocultos, te impedirá usar algunas funciones que podrían resultarte necesarias.
Para protegerte de estos ataques cuando navegues por la Web, asegúrate de que cada sitio al que ingreses esté en una lista blanca cuidadosamente elaborada. Como alternativa, puedes usar una lista negra de sitios denunciados por contener scripts de cryptojacking; sin embargo, en ese caso, tu red y tus dispositivos estarán expuestos a cualquier sitio que no esté en la lista.
Puede que el cryptojacking no parezca demasiado peligroso; al fin y al cabo, lo único que se pierde es poder de cómputo. Pero este poder de cómputo se toma con fines ilícitos, sin el consentimiento o el conocimiento de la víctima, para ayudar a otros a generar dinero. Para minimizar los riesgos, te sugerimos que sigas las prácticas de seguridad recomendadas y que instales una solución de seguridad para el hogar o para Internet en todos tus dispositivos.
Artículos relacionados: